事件概要
企業がもつ機密情報を狙っているのは、外部の人間だけではありません。
ここでは、実際に起こった内部犯による情報流出事件について見てみましょう。
2014年6月に発覚した、ベネッセコーポレーションによる個人情報流出問題です。
この事件は、ベネッセコーポレーションに対する顧客からの問い合わせによって、漏えいが発覚したようです。
インターネット上で騒がれたことによって発覚に至ったのだともいわれています。
ベネッセは、2014年6月27日に正式に情報流出を認めましたが、発表当時、犯人はまだ特定されていませんでした。
ベネッセホールディングスの緊急対策は、問題発覚から10日後に危機管理本部を設置し、本格的な被害状況の調査を開始させました。
その8日後、内部犯行ということがある程度特定されたため刑事告訴に至っています。
発覚に至る経緯
この事件は、ベネッセのみに登録された個人情報が、別の会社からのダイレクトメールに使用されていた、という具体的な証拠を掴んだことによって発覚しました。
大規模な名簿を扱う会社は、一般的に、自社情報の中にダミーデータを入れているといわれています。
例えば、今回のような、子どもの名前が欠かせない情報を扱う場合では、自社の社員の名前などで、わざと子どもがいない家庭の情報を入れておくのです。
ダミーを含む名簿が流出、その情報を別の事業者が使用した場合に、ダミーデータの存在によって流出先が特定できるのです。
これは動かざる証拠となります。
データに透かしを入れる技術もあります。
機密情報に対し、電子的な透かし情報を入れることが可能なのです。
それによって、その機密情報が偽造されているのか、あるいはコピーされたのかが、ある程度まで特定できるのです。
逆に言えば、機密情報が漏れてしまうことを想定して、それを特定できるような情報をあらかじめ刷り込んでおく必要があるということです。
ベネッセの場合は4000万~1億件もの情報が流れていることから、偶然に他では決して使われないような名前データが紛れ込んでいたということかもしれません。
偶然か意図的か定かではありませんが、「ベネッセのみで登録され、他では登録されるはずのない情報が流れていた事実」を特定できたことで、漏えい事件だと発表できる根拠をもつことができたと考えられます。
漏えい源の特定
情報が流出した際、外部からの不正アクセスによって抜き取られたのか、内部の犯行なのかを特定できるようにしておく必要があります。
ベネッセの事件では、ログを取っているネットワーク機器やIDSを調査することで、外部の犯行ではなく、内部の犯行であると絞り込むことができたようです。
後に、内部の挙動をすべて解析することで、最終的に容疑者にたどり着いたと想定されます。
システムログを取っているかどうかで、実際に事件が起こったときに犯人を特定できるかどうかが決まるのです。
内部を疑う仕組みに抵抗をもたれるかもしれませんが、準備がなければ、実際事が起こったときに流出経路の特定に多くの労力を割かれたり、場合によっては特定できない場合もあるでしょう。
内部の情報セキュリティに対する「脆弱性」
内部犯行まで絞り込んだところで、内部の情報セキュリティに対する「脆弱性」の追究が行なわれました。
すると、アラートシステムや外部メモリへの書き出しの制御システムに脆弱性があることが判明しました。
同社の社内ネットワークには、大容量のデータをダウンロードしようとする際に、システムがアラートを発する仕組みがありました。
しかし、情報が漏えいした顧客DBには、このアラート機能を有効にされていませんでした。
また、業務用PCから顧客DBへのアクセスについて、ログの記録はしていましたが、そのログを定期的に監査する仕組みはありませんでした。
ベネッセはセキュリティ対策を何もしていなかったわけではありません。
USBメモリ書き込み禁止ソフトウェアの他、ISMSの認証も取得していました。
さらに、入退室の監視を行なうカメラの設置、PC持ち出し禁止と、基本的なセキュリティ対策は行われていましたが、わずかな隙がこの事件を引き起こしたのです。
アクセス権の問題もあります。
このような重要なシステムでは、アクセス可能な人物を特定するIDとパスワードを必ず登録しますし、登録されたアカウントで利用できる情報の範囲も、アクセス権と同時に設定しなければなりません。
しかし、この部分が杜撰だったのです。
今回の犯人は本来データベースのオペレーションを行なう運用管理者でした。
運用管理者は、業務としてデータベースを扱いますが、デタベースの中に入っている情報そのものを見ることは許されていません。
データベースの中にある情報と、デタベースそのものの運用管理は、アクセス権を分けて管理されなければならないのです。
責務の分離
「セパレーション・オブ・デューテイ」必要な情報にのみアクセスする権利を与えるという考え方があります。
この考え方に基づき、データベースの運用管理者には、運用管理の権限のみ与え、中に入っている情報そのものをオペレートする権限は与えない。
反対に、データベースの中の情報を扱う人には、全体の運用管理に関する権限はもたせない、とするのが原則です。
データベースの中身を扱っている人間が、同時にデータベースそのものの運用管理の権限までもってしまうと、自分が情報を抜き取った痕跡を消すことができるからです。
例えば、大量の情報をUSBメモリに書き出すことや、どこか別の場所に転送させたログ情報を消すことができてしまいます。
この様な事を防ぐためにも、相互牽制の考えを基とした役割を分けた体制を築かなくてはならないのです。
事件の動機 名簿を売買できる個人情報保護法の抜け穴
この事件の容疑者は、ベネッセの情報を扱う運用子会社のデータセンターに雇われた派遣会社の社員でした。
容疑者が犯行に至った動機はお金でした。
多くの名簿事業者が個人情報を買ってくれる、という事が犯行の動機となったのです。
名簿売買マーケットがあるが故に、犯行が行なわれたといえるでしょう。
名簿を購入したのは、報道によると通信教育を行なうジャストシステムという会社です。
当該名簿業者は11社に名簿を転売したといわれています。
名簿の売買行為に疑問を抱く方もいるでしょう。
名簿のような個人情報を扱う組織は、個人情報保護法によって規制されていますが、この法律で規制されているのは「名簿そのものの売買や移転」ではないということを知っておく必要があります。
名簿に載っている個人情報は、本人の取り下げ要求がなければ載せてよいことになっており、オプトアウト(本人の求めに応じて、本人と識別される情報の第三者への提供を停止)すると宣言されていれば可能なのです。
個人情報保護法の網は、一般の企業すべてに掛かっていると同時に、名簿事業者が個人情報を売買できる構造もいまだ保持されているのです。
ベネッセの問題は、情報を抜き取られたという問題だけではなく、個人情報保護法に関する問題も孕んでいるといえます。
今回の事件では、容疑者がデータベースの管理権限をもっていたことによって、いつでも個人情報にアクセスできるシステムになっていました。
情報を抜き出し、外部メモリに書き出しを行なう際、ベネッセの場合は、USBメモリへの書き込み禁止ソフトウェアによって通常のUSBには書き出せないシステムになっていました。
しかし、情報を扱う端末からUSBに書き出すソフトウェアと、スマートフォンに書き出すソフトウェアは別々にできており、スマートフォンには書き出せるシステムになっていたのです。
スマートフォンに書き出すソフトウェアは比較的新しいもので「隙」があったのです。
関連記事
近年の日本における情報流出事件の事例として「ベネッセの内部犯行による名簿流出」について見てきました。
日本のサイバーセキュリティに関する三大脅威として、他に
- 「大手都市銀行を騙るフィッシング詐欺」
大手都市銀行を騙るフィッシング詐欺とは? アクセス認証強化とボットネット
- 「日本年金機構への標的型攻撃」
日本年金機構への標的型攻撃 どんな情報をどこでどのように扱うのかを考える
についてもそれぞれ紹介しているので、合わせてご覧ください。
その他の情報セキュリテイインシデント事例についてはこちらもご参照ください。